Privacy Policy Cookie Policy Terms and Conditions

[HOME PAGE] [STORES] [CLASSICISTRANIERI.COM] [FOTO] [YOUTUBE CHANNEL]


Méthode harmonisée d'analyse des risques

Méthode harmonisée d'analyse des risques

Page d'aide sur l'homonymie Pour les articles homonymes, voir Méhari.
Cet article est une ébauche concernant la sécurité informatique.
Vous pouvez partager vos connaissances en l’améliorant (comment ?) selon les recommandations des projets correspondants.

La méthode harmonisée d'analyse des risques (MEHARI) est une méthode visant à la sécurisation informatique d'une entreprise ou d'un organisme. Elle a été développée et est proposée par le CLUSIF.

Le CLUSIF a présenté le 27 janvier 2010 une nouvelle version de sa méthode MEHARI.

Objectifs

  • différencier les modes de mise en œuvre des services de sécurité ;
  • limiter le volume de travail à fournir pour l'étude.

Découpage en objectifs :

  • base unique d'appréciation de la sécurité ;
  • délégation des décisions ;
  • équilibre des moyens et cohérence des contrôles.

Concepts

Séparation en cellules

MEHARI propose 8 types de cellules :

  • l'entité ;
  • le site ;
  • les locaux ;
  • les applicatifs ;
  • les services offerts par les systèmes et l'infrastructure ;
  • le développement ;
  • la production informatique ;
  • les réseaux et les télécoms.

Scénarios de sinistre

Les risques sont classés selon le type de leur cible. Chaque scénario doit avoir :

  • une seule cause : erreur, malveillance, accident ;
  • une seule conséquence : atteinte à la disponibilité, intégrité, confidentialité.

Méthodes de résolution

  • Combattre les agressions.
    • connaître les menaces, les vulnérabilités ;
    • connaitre la source (interne ou externe)
    • imaginer les agressions ;
  • Élaborer des mesures à mettre en place : évaluer l'efficacité, évaluer la robustesse ;
  • Recours possible : transfert sur un tiers — l'assurance, le responsable de l'attaque.

Impact

L'impact est l'ampleur des conséquences de la survenue d'un événement possible.

  • L'impact des détériorations peut être réduit par des mesures de protection.
  • L'impact des dysfonctionnements peut être réduit par des mesures palliatives.
  • L'impact des pertes finales peut être réduit par des mesures de récupération.

L'impact, fonction de ces trois critères, est évalué de 1 (faible) à 4 (grave).

Potentialité

La potentialité est la probabilité qu'un événement possible survienne effectivement. Elle peut être due à :

  • une exposition naturelle : elle peut être diminuée par des mesures structurelles ;
  • une intention d'agression : elle peut être diminuée par des mesures dissuasives ;
  • des possibilités de sinistre : elle peut être diminuée par des mesures préventives.

Elle est mesurée de 0 (nulle) à 4 (forte).

Gravité

La gravité est fonction, et non le produit, de l'impact et de la potentialité. Sa valeur en fonction de ces deux facteurs s'obtient par une grille (table), qui doit être personnalisée par l'entreprise qui applique la méthode.

Démarche

  • Découpage en cellules
  • Échelles de valeurs et objectifs de sécurité compris
  • Classification exhaustive des ressources
  • Scénarios représentatifs des risques
  • Participation active des intéressés
  1. Créer un plan stratégique
    • Objectifs du plan stratégique :
      • les dirigeants choisissent les objectifs de sécurité ;
      • budgétisation et instruments de pilotage ;
      • mise en application ;
      • charte de management en matière de sécurité.
    • Contenu du plan stratégique :
      • définir une métrique des risques ;
      • établir une classification globale des ressources (utilisation de l'évaluation gravité) ;
      • définir une politique de sécurité : indications générales, instructions spécifiques ;
      • charte de management, rapports entreprise/employés.
  2. Créer un plan opérationnel
    • (peu d'informations)
  3. Réalisation :
    • acteurs : direction, experts informatiques, utilisateurs ;
    • outils : logiciels commerciaux, tables et grilles fournis avec la méthode ;
    • évolution : introduire l'évolution constante du système dans la réalisation.

Voir aussi

Articles connexes

Bibliographie

  • Alphonse Carlier (2006). Stratégie appliquée à l'audit des SI. Editions Lavoisier (Paris) 432 p.

Liens externes

  • Présentation de MEHARI sur le site du CLUSIF, avec lien de téléchargement de la méthode.
  • L'impact des méthodologies de sécurité sur la réduction des risques juridiques d'une organisation
  • Portail de la sécurité informatique
  • Portail de la sécurité de l’information
This article is issued from Wikipédia - version of the Wednesday, September 10, 2014. The text is available under the Creative Commons Attribution/Share Alike but additional terms may apply for the media files.
Contents Listing Alphabetical by Author:
A B C D E F G H I J K L M N O P Q R S T U V W X Y Z Unknown Other

Contents Listing Alphabetical by Title:
# A B C D E F G H I J K L M N O P Q R S T U V W Y Z Other

Medical Encyclopedia

Browse by first letter of topic:

A-Ag Ah-Ap Aq-Az B-Bk Bl-Bz C-Cg Ch-Co
Cp-Cz D-Di Dj-Dz E-Ep Eq-Ez F G
H-Hf Hg-Hz I-In Io-Iz J K L-Ln
Lo-Lz M-Mf Mg-Mz N O P-Pl Pm-Pz
Q R S-Sh Si-Sp Sq-Sz T-Tn To-Tz
U V W X Y Z 0-9

Biblioteca - SPANISH

Biblioteca Solidaria - SPANISH

Bugzilla

Ebooks Gratuits

Encyclopaedia Britannica 1911 - PDF

Project Gutenberg: DVD-ROM 2007

Project Gutenberg ENGLISH Selection

Project Gutenberg SPANISH Selection

Standard E-books

Wikipedia Articles Indexes

Wikipedia for Schools - ENGLISH

Wikipedia for Schools - FRENCH

Wikipedia for Schools - SPANISH

Wikipedia for Schools - PORTUGUESE

Wikipedia 2016 - FRENCH

Wikipedia HTML - CATALAN

Wikipedia Picture of the Year 2006

Wikipedia Picture of the Year 2007

Wikipedia Picture of the Year 2008

Wikipedia Picture of the Year 2009

Wikipedia Picture of the Year 2010

Wikipedia Picture of the Year 2011